詳細については、以下よりお気軽にお問い合わせください。
外部のWebサービスとつながることが多いデジタルサービスは、構造が複雑になりがち
デジタルサービスを提供する様々な企業に対して
サービスの潜在的なリスクを分析し、対策実施まで支援します
外部のWebサービスとつながることが多いデジタルサービスは、構造が複雑になりがち
デジタルサービスを安全かつスピーディに提供するために早い段階でリスク分析を実施したい
ユーザビリティとのバランスを
考慮したセキュリティ対策を行いたい
企業がデジタルサービスを企画・要件定義する段階からNRIセキュアの専門家がサポート
ビジネスモデルとユースケース(ユーザーの利用事例)の観点から、デジタルサービスの脅威となりうるリスクを網羅的に洗い出し、適切なセキュリティ対策を提示します。
開発段階からセキュリティをしっかり考慮することで、セキュリティ要件をサービス仕様に組み込んだシステムの設計が可能になります。自社だけでは見落としがちな脆弱性に気づいたり、より適切なサービス設計やシステムの実装を図ることができます。また、企業がデジタルサービスをサービスインするか否かを意思決定する際の判断材料としても、活用できます。
1
国内外で発生したサービスの不正利用などのインシデント事例に関する、豊富なナレッジや支援実績をもとに体系化したフレームワークを用いたご支援を行います。
対象となるサービスの特性や運用面を踏まえて、リスクを抽出・分析することで、新たにリリースするデジタルサービス特有のリスクや競合・類似サービスで顕在化したリスクを網羅的に抽出します。
2
国内外のセキュリティ対策基準やベストプラクティス、豊富な支援実績を有するセキュリティコンサルタントの知見をもとに、ユーザビリティを考慮した最適な対策を立案します。
STEP
1
サービス仕様・ビジネスモデルの把握と脅威の洗い出し
対象となるデジタルサービスのビジネスモデルや仕様、外部との提携先も含めた全体像を把握します。その上で、悪意者がどのような目的や手法でサービスを悪用しようとするのかを洗い出し、それらの行為の難易度や類似の事例を踏まえて、様々な悪用の形態を「脅威シナリオ」としてまとめ、各シナリオが当該デジタルサービスに対してどれほどのインパクトを持つかを評価します。
STEP
2
ユースケース(ユーザーの利用事例)に基づく脅威の洗い出し
分析対象となるデジタルサービスが持つ特有のユースケースに重点をおいて、悪用された場合のあらゆるリスクを洗い出します。その中から、実際に起きる可能性の高いリスクのメカニズムを分析し、当該リスクと現在の対策とのギャップを評価します。
STEP
3
脅威シナリオに対する対応策の立案・提示
作成した脅威シナリオをもとに、デジタルサービスの仕様にセキュリティ対策として組み込むべき事項を、対応方針として提示します。また、各対応方針について、脅威の「予防」「検知」「抑止」「低減」等の採るべき具体策を提示します。
サービスの規模や支援内容にもよりますが、標準的な支援期間としては2~3か月程度となります。
お客様の希望に応じて短期間での簡易的な評価や、開発期間に沿った長期のアドバイザリー支援なども組み合わせてご提供可能です。
本サービスは、システム開発におけるRFIやRFP等で定義される「サービス仕様」に対するリスク分析を対象とします。アプリケーションや基盤といったシステムの脆弱性に対する評価は、NRIセキュアで提供している診断サービスの対象分野となります。
お客様の要望に応じて対象範囲を絞ったご支援も可能ですが、評価対象外の機能にリスクがあった場合、結果的に不正利用に繋がってしまう恐れもございます。
そのため、サービス全体の仕様を考慮したリスク評価を支援させていただくことをお薦めしています。
対策の立案にあたっては、過去に発生した不正利用の事例や他社サービスの対策状況なども考慮しております。
また、過去の不正事例と同様の攻撃が成立する可能性はあるのかといった耐性評価も行った上でアドバイスします。